Már önmagában az is problémás, ha egy kétfaktoros rendszerhez SMS-ben kérjük a kódot, de az még vállalhatóan biztonságos tud lenni, amennyiben odafigyelünk arra, hogy senki más se férhessen hozzá a telefonszámunkhoz és egyéb belépési adatainkhoz. Ugyanakkor rengeteg szolgáltatás használ SMS-t teljes, beléptetési URL-ek leszállításához, ami sokkal komolyabb probléma.
A felhasználók az URL-re való pöccintéssel jelentkezhetnek be egyes helyekre, ami a Cornell University legutóbbi vizsgálata alapján nagyon felelőtlen. A kutatás során 33 millió üzenetből vontak ki több mint 322 000 egyedi URL-t, melyek 177 digitális szolgáltatáshoz kötődtek. Ezek között akadtak biztosítási ajánlatok, álláskeresési oldalak értesítései, és személyes meghívókkal kapcsolatos linkek is.
Mivel az SMS üzenetek nincsenek titkosítva, így eleve védtelenek külső támadásokkal szemben, de az ezekben található URL-eket is szinte kivétel nélkül felelőtlenül állították össze. Ha valaki megkaparintja ezen bejelentkező linkek egyikét azzal nagyon fontos adatokhoz férhet hozzá banki információktól kezdve, fizetési történeteken át egészen születési, egészségügyi adatokig. A vizsgált szolgáltatások között ráadásul 125 olyan is volt, amelyek csak nagyon lassan lejáró, sőt, akár el nem avuló azonosítókat használtak, ami azt jelenti, hogy ezek hónapokkal vagy évekkel később is aktívak maradtak, jelentősen növelve a használatuk kockázatát.
A fent említett 177 szolgáltatásból 150-et kerestek fel a kutatók, de csak 18 volt közülük, ami elismerte, hogy problémás megoldást használnak, és még ennél is kevesebben vezették be az égetően szükséges védelmi eljárásokat. A legszomorúbb ebben, hogy a felhasználónak itt nincs fegyvere: egy tűzfal vagy bármi más haszontalan, mert a szolgáltatás felelőssége a bejelentkezési metódusok biztosítása.